黑客收集了 27 万名英特尔员工数据，并因披露而获得“感谢”

HackerNews 编译，转载请注明出处：

一名白帽黑客攻破了英特尔的四个内部系统，发现27万名英特尔员工的敏感数据遭到泄露。随后，他花费数月时间帮助该公司堵塞漏洞，最终只收到一封自动回复的感谢信。

安全研究员伊顿·兹维尔（Eaton Zveare）发现，可以绕过英特尔印度公司名片订购网站的身份验证。该系统的API响应返回的数据远超出研究员的预期。

“它给了我一个近1GB的JSON文件。这个文件包含了每位英特尔员工的详细信息。仅仅通过一次API请求，我就窃取了大量详细信息，”兹维尔在领英上发帖称。

进一步调查揭示了其他系统中的关键缺陷。

“不是一个，不是两个，而是四个漏洞，使我能够窃取超过27万名英特尔员工/工作人员的敏感信息，并且我能够通过创造性的JavaScript修补方法侵入多个内部网站，”这位安全研究员在一份报告中披露。

为了绕过英特尔印度运营网站的身份验证，研究员只是调整了客户端代码。该网站使用JavaScript重定向未经身份验证的用户，但研究员修改了一个函数使其返回非空数组，从而成功绕过登录。

研究员惊讶地发现，“后台”通信正在使用一个未经身份验证的API来返回每位员工的信息。他分享了一张截图，其中包含英特尔前首席执行官帕特·基辛格（Pat Gelsinger）的详细信息。

“数据包括姓名、职位、经理、电话号码和邮箱地址等字段，但没有像薪资或社保号这样过于敏感的信息。”他解释道。

另外三个系统暴露

研究员随后发现，英特尔用于组织内部产品组和所有权的“层级管理”（Hierarchy Management）网站包含一个易于解密的硬编码密码，该密码甚至可用于获取系统的管理员权限。

“这种加密完全是徒劳的，”研究员写道，“一切都在客户端完成，意味着客户端拥有密钥，因此可以解密密码！”

解密后的密码更令人惊讶。它只包含数字序列（123…）和字母序列（abc…）。

这个弱密码硬编码的管理员凭证允许访问该网站，其中包含“一些有趣的信息，其中一些可能涉及未发布的产品”。

研究员访问的第三个内部服务是“产品上架”（Product Onboarding）网站，可能用于上传产品信息。

“就泄露/硬编码凭证而言，这是最严重的违规者。”

各种API的凭证以纯文本形式发布在JS文件的注释中。一个加密的GitHub个人访问令牌可能允许读取英特尔ARK（产品数据库）上的虚假产品，但研究员选择不进行测试。

最后，英特尔的SEIMS（供应商环境健康安全知识产权管理系统）网站的企业登录也被攻破。同样，它泄露了所有英特尔员工的数据，但通过额外的客户端修改，可以“获得对系统的完全访问权限，查看有关英特尔供应商的大量机密信息”。

研究员能够访问产品报告和其他文件，例如保密协议（NDA）。

研究员负责任地向英特尔披露了所有漏洞，并将此经历描述为“一个单向的黑洞”。

2024年10月14日，兹维尔发送了第一个有关“商务名片”漏洞的报告，并立即收到一封自动回复邮件，写着“谢谢！”，并解释说网络基础设施漏洞不属于漏洞赏金计划的范围。

“除本通知外，不会发出其他回复或证书。”邮件写道。

这是研究员收到的唯一正式信函。

兹维尔后来在2024年10月29日和11月12日披露了更多漏洞。随后，他发送了多封跟进邮件，敦促轮换泄露的凭证并修复漏洞。

九十天后，漏洞得到修复。2025年2月28日，研究员告知英特尔打算公布调查结果。但他一直等到2025年8月18日，才将报告公开。

“硬件漏洞价值高达10万美元，而网站漏洞基本上被扔进了一个黑洞收件箱，”研究员指出，“好消息是，英特尔最近扩大了其漏洞赏金计划的覆盖范围，将服务纳入其中。”

消息来源： cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文